电脑中了震荡波病毒怎么办(震荡波电脑病毒)
电脑感染冲击波病毒(冲击波电脑病毒)怎么办?
一、预言——这个“冲击波”不是另一个“冲击波”。
大东:小白,你在看什么?你太激动了。
小白:变形金刚,里面的冲击波太强大了。
冲击波(来源:百度图片)
大东:你知道电脑病毒也有冲击波,威力特别大吗?
小白:不知道,董师兄,快告诉我。
二、谈事件——冲击波电脑病毒爆发。
大东:2004年4月30日冲击波电脑病毒爆发,在短时间内给全球造成数千万美元的损失。
小白:感染冲击波病毒的电脑有什么特点?
大东:电脑一旦被抓,会莫名其妙死机或者重启,而在纯DOS环境下执行病毒文件会显示谴责美军士兵的英文句子。
电脑被冲击波病毒感染(来源:逍遥科技)。
小白:多么难忘的四月啊。
大东:Sasser (Shockwave) LSASS蠕虫是用Visual C语言编写的自动执行病毒。
小白:用c语言写的?
大东:对,主要攻击eEye安全团队发现的微软LSA缓冲区溢出漏洞。
小白:这种病毒是有目的的攻击?
大东:是的,Sasser蠕虫使用的攻击是溢出攻击代码,已经测试过是Windows 2000 Professional、Windows 2000 Server、Windows XP Professional等操作系统的英文版和俄文版。
小白:这意味着一些系统没有感染冲击波病毒,对吗?
大东:由于蠕虫使用的攻击代码存在缺陷,只能影响Windows XP和Windows 2000 Professional的某些特定版本。目前,除了传播外,没有任何特征表明病毒具有破坏性(对受影响的系统造成副作用)。
小白:即便如此,这种病毒也带来了很多损失。
大东:损失大概几个亿。由于环境不同,各行业在感染“冲击波”病毒后,表现也不尽相同。在金融系统中,服务器停止响应用户的账单申请。
小白:那你就不能通过互联网查询和办理业务了。
大东:电信和网络运营商可能无法接入互联网;由于病毒感染;个人用户会因为电脑频繁启动、反应慢而无法正常工作。
小白:它对我们日常使用电脑和日常生活有很大的影响。
大东:不仅如此,病毒还会使Windows系统的“安全认证子系统”(LASS)崩溃,造成安全认证相关程序严重运行错误;一些特殊行业的用户也可能因为意外的系统宕机而丢失或损坏数据,造成严重后果。
计算机冲击波病毒感染(来源:百度文库)
大东:因为病毒导致电脑频繁重启,不明原因的用户往往会怀疑是主板等硬件故障。
小白:病毒是如何通过计算机传播的?
大东:别担心,我慢慢告诉你。
第三,大话的开头和结尾。
大东:病毒在运行时,会不断利用IP扫描技术,在网络上搜索带有Win2K或XP系统的电脑,然后利用DCOM RPC缓冲漏洞攻击系统。一旦攻击成功,病毒体就会传播到其他计算机进行感染,会使系统运行异常,不断重启,甚至导致系统崩溃。
小白:我不能改变系统吗?
大东:此外,病毒还会攻击深圳生活网对微软某升级网站的拒绝服务,导致网站被屏蔽,阻止用户通过网站升级系统。
小白:太可怕了。
大东:为了保证系统重启时病毒体可以再次执行,一个新的病毒体Sasser会将自己复制到当前操作系统的系统根目录(\\WINDOWS或\\WINNT)中,并在注册表中添加键值。
大东:如果感染完成后电脑已经被这个病毒感染了,这个新感染的病毒会被一个叫Jobaka3l的互斥体检测到,立即停止感染。
小白:如果是第一次感染呢?
大东:如果病毒实体第一次感染这台电脑,它会使用端口5554打开一个FTP,创建128个线程,开始一个无限传播循环。
大东:在传播过程中,Sasser只选择随机的IP地址进行扫描攻击。当该网段的主机被感染时,病毒会随机将攻击范围扩大到部分或整个网段。
小白:都是随机的?
大东:在任何尝试中,大约52%的概率IP地址是完全随机的,25%的概率IP地址的前16个字节将与本地IP相同。(最后8个字节是随机的),剩下的23%概率是使用本地IP的前8个字节(剩下的24个字节是随机的)。随机的8个字节将由特殊函数在0和254处随机生成。
小白:如果你成功连接到一个随机的IP地址,是否意味着感染成功了?
大东:蠕虫会尝试用随机生成的IP地址连接到计算机系统的TCP端口445。如果成功,病毒会发送一系列数据包来确认对方运行的Windows系统版本。一旦选择了操作系统的版本,Sasser蠕虫将发送LSA攻击代码,并尝试连接到TCP端口9996以获得命令行下的外壳。如果成功,病毒将在受害计算机上执行以下命令来下载并运行蠕虫可执行文件。
小白:以前似乎有过冲击波病毒。他们的名字似乎是一样的。他们之间是什么关系?
大东:与MSBlaster RPC DCOM蠕虫类似,Sasser利用LSA缓冲区溢出漏洞的开放攻击代码进行攻击,试图在受害主机的命令行下获取外壳。
冲击波与冲击波的区别(来源:百度文库)
小白:有什么不同?
大东:第一个区别就是漏洞不同。
小白:冲击波病毒使用系统的LSASS服务。
大东:是的,这个服务是操作系统使用的本地安全认证子系统服务。
小白:冲击波利用了哪些漏洞?
大东:冲击波病毒利用了系统的RPC漏洞。当病毒攻击系统时,会使RPC服务崩溃,RPC服务是Windows操作系统使用的远程过程调用协议。
小白:哦哦哦,我明白了。还有其他区别吗?
大东:两种电脑病毒产生的文件不一样。
小白:有。exe文件。
大东:是的,但是当冲击波病毒运行时,它会在内存中生成一个名为msblast.exe的进程,在系统目录中生成一个名为msblast.exe的病毒文件。当冲击波病毒运行时,它将在内存中生成一个名为avserve.exe的进程,并在系统目录中生成一个名为avserve.exe的病毒文件。
大东:而且,他们的两种病毒攻击不同的对象,入侵不同的端口。
小白:有很多不同。
大东:冲击波病毒攻击所有有RPC漏洞和微软升级网站的电脑,而冲击波病毒攻击所有有LSASS漏洞的电脑,但目前还没有发现其他网站的攻击。
小白:刚才听了董哥的解释,得知冲击波深圳生活网病毒会在本地开后门,监听TCP端口5554,然后作为FTP服务器等待远程控制命令,疯狂尝试连接端口445。正确
大东:没错,但是Shockwave病毒会监听端口69,模拟一个TFTP服务器,启动一个攻击传播线程,连续随机生成攻击地址,试图通过带有RPC漏洞的端口135进行传播。
小白:那我们应该如何预防呢?
第四,小白在心里说——预防冲击波病毒。
小白:我们应该如何防止冲击波病毒的入侵?
大东:保护好你的电脑。如果可能的话,给你的电脑安装一个防火墙,可以限制病毒的破坏程度,保证病毒被清除后不会卷土重来。Windows XP自带防火墙,可以通过微软网站(microsoft.com/security/protect)安装。网站还告诉老Windows的用户如何安装这个防火墙。此外,您还可以从第三方公司获得防火墙。由于冲击波会影响计算机的互联网访问,所以您应该在安装防火墙后运行扫描仪来检查病毒是否已返回您的计算机。
防火墙(来源:百度图片)
小白:还有其他措施吗?
大东:防止再次感染。安装其他安全补丁,以保护您的计算机在未来免受其他病毒的侵害。请注意不要过早恢复您的系统深圳生活网的项目恢复功能,并确保没有病毒感染,计算机得到了适当的保护。
小白:计算机病毒可以做其他程序做的任何事情。唯一不同的是,它将自己附加到另一个程序上,并在宿主程序运行时秘密执行它。病毒一旦执行,就可以完成任何功能,比如删除程序和文件,危害极大。
大东:目前很多人还没有养成定期升级维护系统的习惯,这也是很多人遭受病毒高感染率的原因之一。只要我们培养良好的病毒防范意识,充分发挥杀毒软件的防护能力,就能彻底将大部分病毒拒之门外。
五、那一年——脸书的创作。
大东:你知道2004年2月推出了一款著名的社交软件吗?
小白:这个我不介意。是脸书。
大东:当然。
大东:2004年2月4日,著名哈佛大学学生马克·扎克伯格发布了一个名为“脸书”的小型社交网络。到目前为止,脸书经历了巨大的发展。今天,Forbes.com总结了脸书在过去12年中的主要重新设计和新特点如下:
